勒索攻击和数据擦除攻击的证书签名都是哪来的？

阿尔巴尼亚新闻媒体都报道了一起大规模的网络袭击，该攻击影响了阿尔巴尼亚政府的电子政务系统。后来经过调查，这些网络攻击是一个威胁活动的一部分，其目的可能是瘫痪该国的计算机系统。2022年9月10日，阿尔巴尼亚当地新闻报道了针对阿尔巴尼亚TIMS、ADAM和MEMEX系统的第二波网络攻击。

大约在同一时间，我们发现了勒索程序和擦除程序样本与第一波中使用的类似，尽管有一些有趣的修改，可能允许规避安全控制和提高攻击速度。在这些变化中，最主要的是嵌入一个原始磁盘驱动程序，在恶意程序内部提供了直接的硬盘访问，修改了元数据，并使用Nvidia发现的泄露的代码签名证书对所有的恶意程序发布进行进一步的签名。

在这篇文章中，我们介绍了：

1.用于针对阿尔巴尼亚个机构的第一波和第二波勒索程序和擦除式恶意程序，并详细说明了与之前已知的ROADSWEEP勒索程序和ZEROCLEARE变体的联系。

2.攻击者使用英伟达(Nvidia)和科威特电信公司(Kuwait Telecommunications Company)的证书来签署他们的恶意程序，前者已经泄露，但我们不确定他们是如何得到后者的。

3.我们发现了使用不同语言的不同攻击组织之间的潜在合作关系，以及可能使用AnyDesk作为启动勒索程序/擦除攻击感染的初始入口点。anydesk是一个基于云的安全平台，允许开发人员在不同语言之间进行交互，并提供一系列工具来管理他们的工作负载。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!